14,90 Österreich 16,40. Juli/August/September Benelux 17,15 Schweiz SFR 29,80. Alles. sicher!

Transkript

1 Juli/August/September ,90 Österreich 16,40 Benelux 17,15 Schweiz SFR 29,80 Alles sicher! Web-Anwendungen vor Angriffen schützen Netzwerk abschotten Ausfallsicherheit erhöhen Schutzschild für Smartphones Tools & Tipps für mehr IT-Sicherheit Rundumschutz für Windows-Server & PCs

2 Impressum Impressum Chefredakteur: Michael Eckert (verantwortlich, Anschrift der Redaktion) Stellv. Chefredakteur / CvD: Albert Lauchner Redaktion TecChannel: Lyonel-Feininger-Straße 26, München, Tel.: 0 89/ , Fax: -878 Homepage: feedback@tecchannel.de Autoren dieser Ausgabe: Wolfgang Aigner, Johann Baumeister, Manfred Bremmer, Hans- Christian Dirscherl, Jürgen Donauer, Matthias Fraunhofer, Katharina Friedmann, Bernhard Haluschak, Wolfgang Herrmann, Peter Höpfl, Thomas Hruby, Moritz Jäger, Magnus Kalkuhl, Albert Lauchner, Stefan Marx, Walter Mehl, Harald Philipp, Ramon Schwenk, Christian Vilsbeck, Christoph Wolfert, Sebastian Wolfgarten, Max Ziegler Verlagsleitung: Michael Beilfuß Copyright: Das Urheberrecht für angenommene und veröffentlichte Manuskripte liegt bei der IDG Business Media GmbH. Eine Verwertung der urheberrechtlich geschützten Beiträge und Abbildungen, vor allem durch Vervielfältigung und/oder Verbreitung, ist ohne vorherige schriftliche Zustimmung des Verlags unzulässig und strafbar, soweit sich aus dem Urheberrechtsgesetz nichts anderes ergibt. Eine Einspeicherung und/ oder Verarbeitung der auch in elektronischer Form vertriebenen Beiträge in Datensysteme ist ohne Zustimmung des Verlags nicht zulässig. Grafik und Layout: stroemung GmbH (Michael Oliver Rupp, Oliver Eismann), Multimedia Schmiede, Twentyfirst Communications: B. Maier-Leppla Titelbild: istockphoto Anzeigen: Anzeigenleitung: Sebastian Woerle Tel.: 0 89/ Ad-Management: Edmund Heider (Ltg.) (-127) Anzeigenannahme: Martin Behringer (-554) Druck: Sachsendruck GmbH, Paul-Schneider- Strasse 12, Plauen Gesamtvertrieb: Josef Kreitmair Produktion: Heinz Zimmermann (Ltg.) (-157) Jahresbezugspreise: Inland: 49,20 EUR, Studenten: 43,80 EURAusland: 52,20 EUR, Studenten: 46,80 EUR Haftung: Eine Haftung für die Richtigkeit der Beiträge können Redaktion und Verlag trotz sorgfältiger Prüfung nicht übernehmen. Veröffentlichungen in TecChannel-Compact erfolgen ohne Berücksichtigung eines eventuellen Patentschutzes. Warennamen werden ohne Gewährleistung einer freien Verwendung benutzt. Veröffentlichung gemäß 8, Absatz 3 des Gesetzes über die Presse vom : Alleiniger Gesellschafter der IDG Business Media GmbH ist die IDG Communications Media AG, München, eine 100-prozentige Tochter der IDG Inc., Boston, Mass., USA. Verlag: IDG Business Media GmbH, Lyonel-Feininger- Straße 26, München Tel.: 0 89/ , Fax: -118 Website: Handelsregisternummer: HR Umsatzidentifikationsnummer: DE Geschäftsführer: York von Heimburg Mitglied der Geschäftsführung: Michael Beilfuß Vorstand: York von Heimburg, Keith Arnot, Bob Carrigan Aufsichtsratsvorsitzender: Patrick J. McGovern TecChannel ist Mitglied der IDG Business Media GmbH und somit ein Teil der IDG-Verlagsgruppe. Darin erscheinen unter anderem auch folgende Zeitschriften: Abonnement, Einzel- und Nachbestellung, Umtausch defekter Datenträger: TecChannel Kundenservice, Postfach , Stuttgart, Tel: (+49) 07 11/ , für Österreich 1/ , für Schweiz, 0 71/ , Fax: (+49) 07 11/ , shop@tecchannel.de 4

3 Inhalt Editorial 3 Impressum 4 1 Schutz von Webservern Grundschutz für Web-Applikationen Proaktiver Schutz mit WAFs Links überprüfen Best-of-Breed statt All-in-one Die größten Schwachstellen in Web-Anwendungen Cross Site Scripting (XSS) Injection Flaws Malicious File Execution Insecure Direct Object Reference Cross Site Request Forgery (CSRF) Information Leakage and Improper Error Handling Broken Authentication and Session-Management Insecure Cryptographic Storage Insecure Communications Failure to Restrict URL Access Den Lücken in Web-Anwendungen auf der Spur Das Web-Audit Wie Scanner arbeiten Manuelle Aufgaben Der Markt Weitere Vorteile von Scannern Qualitätsmerkmale und Hürden Tücken bei der Anmeldung Die Grenzen der Scanner Web Application Firewalls in der Praxis Aber die Firewall? Die Integration Die Grundfunktionen einer WAF Wie eine WAF Angriffe erkennt Schutz vor Manipulation Authentisierung via WAF SSL-verschlüsselte Anfragen Das WAF-Regelwerk Black- und Whitelists False Positives Marktübersicht Die Stolpersteine

4 1.5 Web-Anwendungen sicher entwickeln Sicherheit im Entwicklungsprozess Anforderungsanalyse Architektur und Design Implementierung Test Integration in Produktion Schutz von Webshops und E-Commerce-Lösungen Phishing Was ist Cross Site Scripting (XSS)? Was hilft gegen XSS-Attacken? Wie lassen sich Session-Hijacking und SQL-Injection verhindern? Welche grundsätzlichen Schutzmaßnahmen gibt es? Wie Web-Bedrohungen nachhaltig abwehren? Was ist bei der Absicherung der Server-Plattform zu beachten? Inwieweit sind die eigenen Mitarbeiter gefordert? Apache-Sicherheitsoptimierung Tipp 1: Listen-Anweisungen Tipp 2: User nobody Tipp 3: Optionen für das Wurzelverzeichnis Tipp 4: Optionen für htdocs anpassen Tipp 5: Die ServerTokens-Anweisung Tipp 6: Fehlermeldungen Tipp 7: /icons/ löschen Tipp 8: /manual/ löschen Tipp 9: Test-Skripte löschen Tipp 10: Hilfsprogramme löschen 46 2 Netzwerksicherheit Sourcefire: Intrusion Detection in der Praxis Test-Szenario und Aufbau In der Praxis Reports: Übersichtlich und anpassbar Network Access Control für mehr Netzwerksicherheit Viel Nutzen, viel Aufwand Transparenz ist der Schlüssel Audit und Compliance Anforderungen an eine NAC-Lösung Ports scannen mit Nmap & Co Sockets sind die Adressen von PC und Servern Well known und registrierte Ports Ports schließen oder absichern So spüren Sie offene Ports auf Mit Nmap offene Ports erkennen und analysieren Fingerprinting: Betriebssysteme identifi zieren

5 2.4 Millionen DSL-Router hochgradig gefährdet Angriffsvektor CSRF (XSRF oder Session Riding) CSRF-Logout-Button-Attacke Cookie-Manipulation mit CSRF CSRF-Angriff auf das interne Netz Sicherheitsrisiko DSL-Router AVM bestätigt Angriff Das Passwort allein schützt nicht Potenzielle und reale Gefahren für DSL-Router Schutzmaßnahmen 78 3 Schutz für Server Serverräume wirkungsvoll vor unbefugtem Zutritt schützen Authentifi zierung, Identifi zierung und Verifi zierung Traditionelle Absicherung und Überwachung von Serverräumen Raumüberwachung per Videokameras Intelligente Videoüberwachung Praxisnaher Einsatz biometrischer Zutrittssysteme Personenvereinzelung und 3D-Gesichts-Scan Server-Fernwartung effizient einsetzen Grundlagen des Remote-Managements Remote-Management- und Client-Software Sichere Konsolen-Server (SCS) KVM-over-IP-Switch Baseboard Management Controller (BMC) Test Hochverfügbarkeit mit Server-Cluster Testsystem: 2x Dell PowerEdge Funktionsweise des Avance-HA-Cluster Installation der Avance-Cluster-Software Installation und Verwaltung von virtuellen Maschinen Intel: Nehalem EX greift RISC-CPUs an Hohe Skalierfähigkeit RAS-Features auf RISC-Niveau Performance-Angaben Standard-x86-Server vs. RISC-Unix-Systeme Warum Unternehmen Standard-Server nutzen Technische Gründe für x86-server Virtualisierung befl ügelt x86-serversysteme Blade-System sparen Energie Sieben Aspekte, die für x86-server sprechen Zukunftsperspektiven von RISC-Unix-Systemen Datenaustausch zwischen Linux, Windows 7 und Server 2008 R Mit Linux auf Windows-7-Partitionen zugreifen Umkehrschwung: Windows 7 und Linux-Partitionen

6 5 Praxis und Know-how Verhaltensweise nach IT-Angriffen Hinter den Kulissen Verhalten im Verdachtsfall Rechnen Sie mit unglaublichen Datenmengen Die Analyse IT-Forensik fordert Vertrauen Von Fingerprint bis Gesichtserkennung Optische und kapazitive Fingerprint-Systeme Thermo- und Ultraschall-Fingerprint-Systeme Analyseverfahren von Fingerabdrücken Handgeometrie D-Gesichtserkennung D-Gesichtserkennung Iriserkennung Retina-Scan Stimmidentifi kation Unterschriftenerkennung Venen- oder Aderscan Tastentippdynamik-Verfahren Personenerkennung durch Herzschlaganalyse Biometrische Systeme im Vergleich Fazit und Ausblick Certgate Protector: Smartphones sicher betreiben Setup mit vielen Einstellungsmöglichkeiten Sperren von Funktionen Beschreiben der MicroSD-Card Zehn IE-Einstellungen für sicheres Surfen Deaktivieren Sie XPS-Dokumente Deaktivieren Sie den Schriftart-Download Schließen Sie beim Datei-Upload den lokalen Verzeichnispfad aus Deaktivieren Sie die automatische Eingabeaufforderung Geben Sie stets Nutzernamen und Passwort ein Deaktivieren Sie SSL-2.0-Unterstützung Aktivieren Sie TLS-Unterstützung Deaktivieren Sie die Suche in der Adressleiste Deaktivieren Sie unnötige Add-ons Deinstallieren Sie alte Java-Installationen Die besten Check- und Sicherheits-Tools Stick Security: USB-Stick-Zugriffsschutz für den PC st Backup: Tool für die einfache Datensicherung Autoruns: Zeigt alle Programme im Autostart Dvdisaster und weitere Tools 185 Index